DATENSCHUTZKONFERENZ 


Positionierung zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook- 
Fanpages sowie der aufsichtsbehördlichen Zuständigkeit! 


Stand: 01.04.2019 


Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und 
der Länder (DSK) hat sich am 5. September 2018 zu dem (Weiter-)Betrieb von 
Facebook-Fanpages nach dem Urteil des EuGH vom 5. Juni 2018 geäußert. In ihrem 
Beschluss hat die Konferenz deutlich gemacht, dass Fanpage-Betreiber die 
Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung 
gewährleisten und die Einhaltung der Grundsätze für die Verarbeitung 
personenbezogener Daten aus Art. 5 Abs. 1 DSGVO nachweisen können müssen. 
Dies ergibt sich aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO sowie 
insbesondere in Bezug auf Verpflichtungen nach Art. 24, 25, 32 DSGVO. 


Am 11. September 2018 veröffentlichte Facebook eine sog. „Seiten-Insights- 
Ergänzung bezüglich des Verantwortlichen“ sowie „Informationen zu Seiten- 
Insights“. Diese von Facebook veröffentliche „Seiten-Insights-Ergänzung bezüglich 
des Verantwortlichen“ erfüllt nicht die Anforderungen an eine Vereinbarung nach 
Art. 26 DSGVO. Insbesondere steht es im Widerspruch zur gemeinsamen 
Verantwortlichkeit gemäß Art. 26 DSGVO, dass sich Facebook die alleinige 
Entscheidungsmacht „hinsichtlich der Verarbeitung von Insights-Daten" einräumen 
lassen will. Die von Facebook veröffentlichten Informationen stellen zudem die 
Verarbeitungstätigkeiten, die im Zusammenhang mit Fanpages und insbesondere 
Seiten-Insights durchgeführt werden und der gemeinsamen Verantwortlichkeit 
unterfallen, nicht hinreichend transparent und konkret dar. Sie sind nicht 
ausreichend, um den Fanpage-Betreibern die Prüfung der Rechtmäßigkeit der 
Verarbeitung der personenbezogenen Daten der Besucherinnen und Besucher ihrer 


Fanpage zu ermöglichen. Vor diesem Hintergrund bekräftigt die Konferenz erneut 
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die Rechenschaftspflicht der Fanpage-Betreiber (unabhängig von dem Grad der 


Verantwortlichkeit) und stellt fest: 


1. Jeder Verantwortliche benötigt für die Verarbeitungstätigkeiten, die seiner 
Verantwortung unterliegen, eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO 
und - soweit besondere Kategorien personenbezogener Daten verarbeitet 
werden - nach Art. 9 Abs. 2 DSGVO. Dies gilt auch in den Fällen, in denen sie 
die Verarbeitungstätigkeiten nicht unmittelbar selbst durchführen, sondern 
durch andere gemeinsam mit ihnen Verantwortlichen durchführen lassen. 


2. Ohne hinreichende Kenntnis über die Verarbeitungstätigkeiten, die der 
eigenen Verantwortung unterliegen, sind Verantwortliche nicht in der Lage, 
zu bewerten, ob die Verarbeitungstätigkeiten rechtskonform durchgeführt 
werden. Bestehen Zweifel, geht dies zulasten der Verantwortlichen, die es in 
der Hand haben, solche Verarbeitungen zu unterlassen. Der EuGH führt 
hierzu aus: „Der Umstand, dass ein Betreiber einer Fanpage die von Facebook 
eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in 
Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner 
Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.“ 
(EuGH, C-210/16, Rn. 40). 


3. Im Hinblick auf die Ausführungen zur „Hauptniederlassung für die 
Verarbeitung von Insights-Daten für sämtliche Verantwortliche“ sowie zur 
federführenden Aufsichtsbehörde (Punkt 4 in der „Seiten-Insights-Ergänzung 
bezüglich des Verantwortlichen“) weist die Konferenz darauf hin, dass sich 
die Zuständigkeit der jeweiligen Aufsichtsbehörden für Fanpage-Betreiber 
nach der DSGVO richtet. Nach Art. 55 ff. DSGVO sind die Aufsichtsbehörden 
für Verantwortliche (wie z. B. Fanpage-Betreiber) in ihrem Hoheitsgebiet 
zuständig. Dies gilt unabhängig von den durch die DSGVO vorgesehenen 
Kooperations- und Kohärenzmechanismen. 
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Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht 
nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend 
nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend 
gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein 


datenschutzkonformer Betrieb einer Fanpage nicht möglich. 


